Análisis y resultados de esta herramienta que genera una sinergia y un trabajo en equipo contra el fraude electrónico bancario.
por Héctor Fuenmayor, MSc*
Uno de los principales problemas que afronta el negocio bancario es la alta cantidad de fraudes electrónicos que diariamente se dirigen a los depósitos en cuenta y a los medios electrónicos de pago. Aunque la oferta de soluciones tecnológicas creadas para monitorear los patrones delictivos ha presentado soluciones atractivas que permiten hacer las advertencias respectivas después de una transacción, cada instituto bancario necesita avanzar hacia la mitigación de la amenaza integrando los recursos tecnológicos más el capital humano para dar una respuesta eficaz, proporcional y oportuna a las transacciones sospechosas.
A continuación presento el concepto y los resultados de la investigación y desarrollo de una herramienta complementaria de monitoreo para la detección de comportamientos transaccionales fraudulentos, denominada “Motor de Riesgo Transaccional” (MRT), implementada en uno de los más importantes bancos comerciales de Venezuela.
Cifras de pérdidas y perfiles de riesgo transaccional alarmantes
Desde el año 2006 se produjo un exagerado aumento de la cibercriminalidad que vulneró los ambientes lógicos de la mayoría de los institutos bancarios, a pesar de que estos ya habían incorporado plataformas de monitoreo y control de fraudes. Con un alto nivel de tecnificación, los delincuentes lograron penetrar las cuentas de clientes para consumar retiros fraudulentos, que se transformaron en reclamos por operaciones no reconocidas (ONR) que acumularon montos muy altos.
Durante mucho tiempo el autorizador del núcleo central transaccional (core bancario) ha permanecido bajo monitoreo permanente por una plataforma lógica para la detección de patrones operativos fraudulentos, pero ante esta arremetida fue necesario hacer una valoración profunda que reveló brechas de seguridad (backdoors) comunes a casi todos los bancos, que fueron explotadas por los grupos delictivos para ejecutar ataques, elevando el riesgo de exposición de los clientes, y comprometiendo bienes tangibles e intangibles del sector bancario.
Durante la investigación adelantada por el equipo de seguridad se logró corroborar que al igual que en muchos otros países, Venezuela estaba en la mira de la delincuencia organizada a través de dos modus operandi de alto impacto que sirvieron como maniobra preparatoria del fraude: los ataques de ingeniería social por medio de correos electrónicos engañosos (phishing), y los ataques de fuerza bruta a las páginas transaccionales para descubrir las claves de usuarios.
Las brechas de seguridad y la reingeniería para el intercambios de datos
Los criterios o parámetros de alerta aparecen en el centro del problema como disparadores (triggers) de mayor o menor eficacia que inducen a la identificación de los patrones de fraude, y por lo tanto al diseño y establecimiento de barreras que impidan la consumación de la apropiación ilícita de fondos a través de la plataforma de servicios bancarios en línea (homebanking). La plataforma de uso tradicional bancario para la detección de parámetros operativos fraudulentos a través del sistema de monitoreo transaccional de alta tecnología, estaba apoyada en criterios generales a partir de los datos casuísticos reportados y analizados durante un lapso de tiempo considerable, tales como transferencias de montos inusuales y regeneración forzosa de credenciales de autenticación transaccional, entre muchos otros.
No obstante, también existen criterios particulares o atípicos que provienen del monitoreo constante. Estos pueden ser identificados a partir de rasgos transaccionales distintos a los mencionados en el párrafo anterior, que no pueden ser inducidos como parámetro generales porque no aplican a todas las transacciones ni al entorno de todos los institutos bancarios. Podría decirse que son más “circunstanciales”, y eso los invisibiliza ante los parámetros tradicionales previstos para el sistema de monitoreo de alta tecnología ya establecido en el autorizador del núcleo central transaccional del banco. Estos indicadores son, por ejemplo, el uso de direcciones IP relacionadas con fraudes anteriores, y las transferencias vinculadas a destinatarios relacionados con operaciones no reconocidas (ONR) anteriores, entre otros. De manera que el reto de conceptualización se representó fundamentalmente en el cierre de tal vulnerabilidad, y dio origen a la creación de una solución lógica complementaria de producción propia (homemade) que fue denominada “Motor de Riesgo Transaccional” (MRT).
Esta aplicación consistió en un motor de alertas parametrizadas generado por la información casuística de último término conocida a partir de las operaciones sospechosas, que versó sobre el módulo autorizador de la página transaccional del banco, y fue alimentado con los registros de operación arrojados por el autorizador del núcleo central transaccional (core bancario). Bajo esta condición, el personal de monitoreo se encargó de crear y actualizar de marea constante las referencias de detección en el autorizador de la banca en línea (homebanking), y a través del MRT se inició el desarrollo de disparadores (triggers) para alimentar en forma permanente las tablas de datos del sistema de monitoreo de alta tecnología ya existente, con el fin de integrarlas para que mientras la nueva plataforma direccionaba a validación la transferencia bajo sospecha, se evitaba el cargo en la cuenta del cliente.
El concepto de complemento materializado en el MRT se orientó hacia el cierre de la brecha existente entre el conjunto de parámetros tradicionales incluidos en el sistema de monitoreo de alta tecnología, y los parámetros atípicos generados por los ciberdelincuentes, además hacia un intercambio constante y estructurado de registros (logs).
No obstante, los módulos de administración de parámetros se mantuvieron separados para mantener garantías de compartimentación y confidencialidad que son esenciales por razones de seguridad. Esta integración otorgó nuevas alertas de monitoreo previos a la validación de las transacciones dudosas, que garantizarían que los fondos de la cuenta afectada no serían transferidos a otra cuenta receptora para consumar la apropiación fraudulenta.
Un modelo de control exitoso en el sector bancario
El diseño e implementación del MRT fue el resultado de un esfuerzo compartido entre el personal de TI del instituto bancario, el personal de seguridad involucrado en el monitoreo e investigación de fraudes, y el contratista proveedor del sistema de monitoreo de alta tecnología ya existente.
Esta herramienta presentó un excelente rendimiento con respecto al promedio manejado por otras soluciones en el sector bancario, porque el macrosistema integrado a través del MRT con la plataforma tradicional de monitoreo sobre el autorizador del núcleo central transaccional (core bancario) llevó a niveles mínimos de afectación aunque la frecuencia de intentos de ataques fuera muy elevada.
Encontrar un concepto para la solución sin afectar la agilidad operativa de las validaciones transaccionales de las operaciones no fraudulentas fue un desafío a la capacidad de crear sinergia por medio del trabajo en equipo. Este logro estuvo sustentado por la capacidad de análisis de información situacional que fue puesta a prueba en el personal de seguridad, y por la habilidad estratégica desarrollada para clarificar objetivos luego de la identificación y el procesamiento oportuno y exacto de los patrones de fraude en los servicios bancarios en línea.
La decisión de implementar el desarrollo interno de la plataforma lógica representada en el MRT, además de presentar un rendimiento excelente en la puesta bajo control de los indicadores de fraude disparados a través de las operaciones de banca en línea, también fue reconocida como un acierto en cuanto a flexibilidad, costo de implantación y mantenimiento, además de la aceptación que el contratista desarrollador y propietario del sistema de monitoreo transaccional de alta tecnología mostró al proponer la integración de los nuevos protocolos de parametrización a su producto.
* Héctor Fuenmayor, Msc. MSc en IT Management Major in Security. Ha trabajado durante 30 años en puestos directivos de seguridad corporativa en Venezuela, para empresas de amplia base (PDVSA, Banco Occidental de Descuento, Protinal).
Deje su comentario